为什么 Web API 请求的主体被读取一次？答案

【问题标题】：Why is the body of a Web API request read once?为什么 Web API 请求的主体被读取一次？
【发布时间】：2012-10-22 22:50:05
【问题描述】：

我的目标是使用 AuthorizationFilter 或 DelegatingHandler 对 Web API 请求进行身份验证。我想在几个地方查找客户端 ID 和身份验证令牌，包括请求正文。起初看起来这很容易，我可以做这样的事情

var task = _message.Content.ReadAsAsync<Credentials>();

task.Wait();

if (task.Result != null)
{
    // check if credentials are valid
}

问题是 HttpContent 只能读取一次。如果我在处理程序或过滤器中执行此操作，那么我的操作方法中的内容对我不可用。我在 StackOverflow 上找到了一些答案，例如：Read HttpContent in WebApi controller 解释说这是故意的，但他们没有说为什么。这似乎是一个非常严重的限制，阻止我在过滤器或处理程序中使用任何很酷的 Web API 内容解析代码。

这是技术限制吗？它是否试图阻止我做我没有看到的非常糟糕的事情（tm）？

尸检：

我查看了 Filip 建议的来源。 ReadAsStreamAsync 返回内部流并且没有什么能阻止你调用 Seek 如果流支持它。在我的测试中，如果我调用 ReadAsAsync 然后这样做：

message.Content.ReadAsStreamAsync().ContinueWith(t => t.Result.Seek(0, SeekOrigin.Begin)).Wait();

自动模型绑定过程在遇到我的操作方法时可以正常工作。不过我没有用这个，我选择了更直接的东西：

var buffer = new MemoryStream(_message.Content.ReadAsByteArrayAsync().WaitFor());
var formatters = _message.GetConfiguration().Formatters;
var reader = formatters.FindReader(typeof(Credentials), _message.Content.Headers.ContentType);
var credentials = reader.ReadFromStreamAsync(typeof(Credentials), buffer, _message.Content, null).WaitFor() as Credentials;

使用扩展方法（我在 .NET 4.0 中没有 await 关键字）

public static class TaskExtensions
{
    public static T WaitFor<T>(this Task<T> task)
    {
        task.Wait();
        if (task.IsCanceled) { throw new ApplicationException(); }
        if (task.IsFaulted) { throw task.Exception; }
        return task.Result;
    }
}

最后一个问题，HttpContent 有一个硬编码的最大缓冲区大小：

internal const int DefaultMaxBufferSize = 65536;

因此，如果您的内容要大于该内容，则需要在尝试调用 ReadAsByteArrayAsync 之前手动调用更大尺寸的 LoadIntoBufferAsync。

【问题讨论】：

虽然你找到了不止一次阅读正文的方法，但你们有没有发现为什么不能阅读两次？因为我真的很想弄清楚为什么首先会有这个限制。

标签： asp.net asp.net-web-api

【解决方案1】：

您指出的答案并不完全准确。

您始终可以读取为字符串 (ReadAsStringAsync) 或字节 [] (ReadAsByteArrayAsync)，因为它们在内部缓冲请求。

例如下面的虚拟处理程序：

public class MyHandler : DelegatingHandler
{
    protected override async System.Threading.Tasks.Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, System.Threading.CancellationToken cancellationToken)
    {
        var body = await request.Content.ReadAsStringAsync();
        //deserialize from string i.e. using JSON.NET

        return base.SendAsync(request, cancellationToken);
    }
}

同样适用于 byte[]:

public class MessageHandler : DelegatingHandler
{
    protected override async Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
    {
        var requestMessage = await request.Content.ReadAsByteArrayAsync();
        //do something with requestMessage - but you will have to deserialize from byte[]

        return base.SendAsync(request, cancellationToken);
    }
}

每个都不会导致发布的内容到达控制器时为空。

【讨论】：

感谢您的回复！我在进行测试时确实注意到了这一点。我对此有两个担忧。 1.我也可以直接使用HttpContext获取流。我真的希望利用 Web API 中的功能将格式化程序与媒体类型相匹配，这样如果正文是 XML、JSON 或只是一个标准的表单提交，我就不必采取不同的行为。 2. 这些“ReadAsAsync”方法具有不同副作用的事实让我担心。没有记录我能找到的差异。我可以依赖它吗？
HttpContent 的不同行为不是 Web API 的一个特性，而是 System.Net.Http 更早发布的特性——我认为这就是为什么没有人想到为 Web API 明确记录它的原因。读取字符串/字节 [] 的作用是调用 LoadIntoBufferAsync msdn.microsoft.com/en-us/library/hh138085(v=vs.110)，我还建议您检查 HttpContent 的符号源。在其他情况下，例如使用 MediaTypeFormatters，您会显式使用流，并且由于您将流的位置向前移动（并且它是不可回退的），模型绑定器将始终从中获取 null。
是的，你可以依赖它，这不是黑客行为，这种行为是设计好的 :-)
感谢Filip的回答，这真的为我节省了很多时间！非常感谢:)
@FilipW 如果是这样，你能解释一下什么时候不能读两遍吗？

【解决方案2】：

我会将 clientId 和身份验证密钥放在标头而不是内容中。

通过哪种方式，您可以随意阅读它们！

【讨论】：

感谢您的建议！我确实考虑了标头，但看起来我必须为此目的编写一些非标准的 HTTP 标头参数，而且我不确定各种平台上的各种 http 客户端 API 支持它有多容易。当然有可能是我太快放弃了这个选项。
我同意。如果它很小，自定义标题就可以了。如果它是“whacko”字符串..您也可以将其设为 base64 字符串。再次......如果它很小。